Các cuộc tấn công gần đây được cho là do nhóm muối Typhoon của Trung Quốc thực hiện đối với các công ty viễn thông và các quốc gia - trong số đó sẽ là Brazil - khiến cả thế giới cảnh giác. Tin tức nói về mức độ tinh vi của các cuộc xâm lược và điều đáng báo động hơn - về mặt lý thuyết, tội phạm vẫn sẽ nằm trong mạng lưới của các công ty này.
Thông tin đầu tiên về nhóm này xuất hiện vào năm 2021, khi nhóm Microsoft Threat Intelligence công bố thông tin về cách Trung Quốc sẽ thâm nhập thành công một số nhà cung cấp dịch vụ Internet, để giám sát các công ty - và nắm bắt dữ liệu. Một trong những cuộc tấn công đầu tiên được thực hiện bởi nhóm là vi phạm các bộ định tuyến Cisco, được coi là cổng để theo dõi các hoạt động internet xảy ra thông qua các thiết bị này. Sau khi có được quyền truy cập, tin tặc có thể mở rộng phạm vi tiếp cận của họ sang các mạng bổ sung. Tháng 10/2021, Kaspersky xác nhận tội phạm mạng đã mở rộng các cuộc tấn công vào các nước khác như Việt Nam, Indonesia, Thái Lan, Malaysia Ai Cập, Ethiopia và Afghanistan.
Nếu những lỗ hổng đầu tiên đã được biết từ năm 2021 - tại sao chúng ta vẫn bị tấn công? Câu trả lời nằm ở cách chúng ta đối phó với những lỗ hổng này trong cuộc sống hàng ngày.
Phương thức vi phạm
Giờ đây, trong những ngày gần đây, thông tin từ chính phủ Mỹ đã xác nhận một loạt các cuộc tấn công vào “công ty và quốc gia” – điều này có thể xảy ra từ các lỗ hổng đã biết trong một ứng dụng VPN, từ nhà sản xuất Ivanti, trong Fortinet FortiClient EMS, được sử dụng để theo dõi máy chủ, tường lửa Sophos và cả trên các máy chủ của Microsoft Exchange.
Lỗ hổng của Microsoft được tiết lộ vào năm 2021 khi công ty công bố các bản sửa lỗi. Lỗi tường lửa Sophos được công bố vào năm 2022 – và được sửa vào tháng 9 năm 2023. Các vấn đề gặp phải ở FortiClient đã được công khai vào năm 2023 và được sửa chữa vào tháng 3 năm 2024 - cũng như của Ivanti, cũng có các lỗ hổng chung và phơi nhiễm CVE được đăng ký vào năm 2023. Tuy nhiên, công ty chỉ sửa chữa lỗ hổng vào tháng 10 năm ngoái.
Tất cả những lỗ hổng này cho phép bọn tội phạm dễ dàng xâm nhập vào các mạng bị tấn công, sử dụng thông tin đăng nhập và phần mềm hợp pháp, khiến việc phát hiện những cuộc xâm lược này gần như không thể. Từ đó, bọn tội phạm đã đi ngang trong các mạng này, triển khai phần mềm độc hại, giúp ích cho công việc gián điệp lâu dài.
Điều đáng báo động trong các cuộc tấn công gần đây là các phương pháp mà nhóm tin tặc Typhoon sử dụng phù hợp với các chiến thuật dài hạn được quan sát trong các chiến dịch trước đây do các đặc vụ nhà nước Trung Quốc. Các phương pháp này bao gồm việc sử dụng các thông tin hợp pháp để che giấu các hoạt động độc hại như các hoạt động thông thường, gây khó khăn cho việc xác định bằng các hệ thống bảo mật thông thường. Việc tập trung vào các phần mềm được sử dụng rộng rãi như VPN và tường lửa thể hiện kiến thức chuyên sâu về các lỗ hổng trong môi trường công ty và chính phủ.
Vấn đề lỗ hổng
Các lỗ hổng được khai thác cũng cho thấy một mô hình đáng lo ngại: sự chậm trễ trong việc áp dụng các bản vá lỗi và cập nhật. Bất chấp những điều chỉnh được cung cấp bởi các nhà sản xuất, thực tế hoạt động của nhiều công ty khiến việc thực hiện ngay các giải pháp này rất khó khăn. Các bài kiểm tra khả năng tương thích, nhu cầu tránh gián đoạn trong các hệ thống quan trọng của nhiệm vụ và trong một số trường hợp, sự thiếu nhận thức về mức độ nghiêm trọng của các lỗi góp phần làm tăng thời hạn tiếp xúc.
Vấn đề này không chỉ là kỹ thuật, mà còn là tổ chức và chiến lược, liên quan đến các quy trình, ưu tiên và thường là văn hóa doanh nghiệp.
Một khía cạnh quan trọng là nhiều công ty coi việc áp dụng các bản vá lỗi là một nhiệm vụ “thứ cấp” so với tính liên tục hoạt động. Điều này tạo ra cái gọi là tình thế tiến thoái lưỡng nan, nơi các nhà lãnh đạo cần quyết định giữa việc gián đoạn dịch vụ tạm thời để cập nhật hệ thống và nguy cơ tiềm ẩn của việc khai thác trong tương lai. Tuy nhiên, các cuộc tấn công gần đây cho thấy việc trì hoãn các bản cập nhật này có thể tốn kém hơn nhiều, cả về mặt tài chính và danh tiếng.
Ngoài ra, các bài kiểm tra tương thích là một nút thắt phổ biến. Nhiều môi trường doanh nghiệp, đặc biệt là trong các lĩnh vực như viễn thông, hoạt động với sự kết hợp phức tạp giữa các công nghệ hiện đại và kế thừa. Điều này làm cho mỗi bản cập nhật đòi hỏi nỗ lực đáng kể để đảm bảo rằng bản vá không gây ra sự cố trên các hệ thống phụ thuộc. Loại chăm sóc này là dễ hiểu, nhưng nó có thể được giảm thiểu bằng cách áp dụng các phương pháp như môi trường thử nghiệm mạnh mẽ hơn và các quy trình xác nhận tự động.
Một điểm khác góp phần vào việc chậm trễ trong việc áp dụng các bản vá lỗi là sự thiếu nhận thức về mức độ nghiêm trọng của các lỗi. Thông thường, các nhóm CNTT đánh giá thấp tầm quan trọng của một CVE cụ thể, đặc biệt là khi nó chưa được khám phá rộng rãi cho đến nay. Vấn đề là cửa sổ cơ hội cho những kẻ tấn công có thể mở ra trước khi các tổ chức nhận ra mức độ nghiêm trọng của vấn đề. Đây là một lĩnh vực mà thông tin về mối đe dọa và giao tiếp rõ ràng giữa các nhà cung cấp công nghệ và các công ty có thể tạo ra tất cả sự khác biệt.
Cuối cùng, các công ty cần phải có cách tiếp cận chủ động hơn và ưu tiên hơn đối với việc quản lý lỗ hổng, bao gồm tự động hóa các quy trình vá lỗi, phân đoạn mạng, hạn chế tác động của các cuộc xâm lược có thể xảy ra, thường xuyên mô phỏng các cuộc tấn công thường xuyên có thể, giúp tìm ra “điểm yếu” tiềm năng.
Vấn đề về việc vá lỗi và cập nhật chậm không chỉ là thách thức kỹ thuật, mà còn là cơ hội để các tổ chức chuyển đổi cách tiếp cận bảo mật của họ, làm cho nó nhanh nhẹn, dễ thích nghi và kiên cường hơn. Trên hết, phương thức hoạt động này không phải là mới và hàng trăm cuộc tấn công khác được thực hiện với cùng một modus opandi, từ các lỗ hổng được sử dụng làm cổng. Tận dụng bài học này có thể là sự khác biệt giữa việc trở thành nạn nhân hoặc chuẩn bị cho cuộc tấn công tiếp theo.
